Hacker greifen europäische Supercomputer mit Cryptominern an

Mehrere Supercomputer in Europa wurden in der vergangenen Woche mit einer Malware zum Schürfen von Kryptowährungen infiziert. Die unbekannten Täter nahmen unter anderem Systeme in Großbritannien, Deutschland und der Schweiz ins Visier. Einige der Hochleistungscomputer mussten im Rahmen der Untersuchungen abgeschaltet werden.

Den ersten Vorfall meldete vor einer Woche die University of Edinburgh. Sie meldete einen Angriff auf die Login-Nodes des Supercomputers Archer. Um weitere Eindringversuche abzuwehren sei das System heruntergefahren und die SSH-Passwörter zurückgesetzt worden.

Hierzulande traf es mehrere Mitglieder des bwHPC, dem zehn Universitäten in Baden-Württemberg angehören, darunter der Hawk-Supercomputer der Universität Stuttgart, den bwUniCluster 2.0 sowie den ForHLR-II-Cluster am Karlsruhe Institute of Technology, der bwForCluster Justus an der Universität ULM und der bwForCluster an der Universität Tübingen.

Am Donnerstag räumte das Leibniz Rechenzentrum der Bayerischen Akademie der Wissenschaften ein ebenfalls einen Einbruch in seine Systeme ein. Als Folge sein ein Computing Cluster vom Internet getrennt worden. Am selben Tag schaltete auch das Forschungszentrum Jülich die Supercomputer Jureca, Judac und Juwels ab. Aus einer am Wochenende veröffentlichten Analyse der Malware des Forschers Robert Helling geht hervor, dass auch eine HPC-Cluster der Physikfakultät der Ludwig-Maximilians-Universität in München infiziert wurde.

Schließlich meldete auch das Swiss Center of Scientific Calculations in Zürich, dass es den externen Zugang zu seiner Supercomputer-Infrastruktur abgeschaltet hat. Auch in dieser Meldung in von einem Cyber-Vorfall die Rede.

Zu den Details der Attacken äußerten sich die betroffenen Einrichtungen bisher nicht. Allerdings veröffentlichte das Computer Security Incident Response Team der European Grid Infrastructure, die die Forschung an Supercomputern in Europa koordiniert, Muster der Schadsoftware sowie Informationen über mögliche Hinweise, die auf eine Infektion schließen lassen.

Die Muster wurden unter anderem vom US-Sicherheitsanbieter Cado Security untersucht. Demnach kompromittierten die Angreifer die Supercomputer über gestohlene SSH-Anmeldedaten. Die Anmeldedaten wiederum gehörten Universitäten in China, Kanada und Polen. Laut Chris Doman, Mitgründer von Cado Security, gibt es zwar keine eindeutigen Belege dafür, dass alle Vorfälle auf das Konto eines Angreifers gehen, ähnliche Dateinamen der Malware legten dies jedoch nahe.

So sollen die Angreifer stets einen Exploit für eine Schwachstelle mit der Kennung CVE-2019-15666 eingesetzt haben, um sich Root-Rechte zu verschaffen. So hätten sie eine Anwendung eingeschleust, die die Kryptowährung Monero generiert.

Die Angriffe haben möglicherweise Auswirkungen auf die Erforschung der COVID-19-Pandemie. Einige der nun abgeschalteten Systeme hatten in den vergangenen Wochen angekündigt, die Forschung am neuartigen Corona-Virus zu priorisieren.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Nach Beschwerden: Microsoft überarbeitet Produktivitätsbewertung in Microsoft 365

Künftig entfällt die Nennung von Nutzernamen. Die Auswertung soll außerdem nur noch auf Organisationsebene erfolgen.…

42 Minuten ago

Reuters: Samsung stampft Galaxy-Note-Reihe ein

Angeblich erhält das Galaxy Note 20 keinen Nachfolger. Stattdessen soll das Galaxy S21 den Eingabestift…

3 Stunden ago

Salesforce übernimmt Slack für 27,7 Milliarden Dollar

Die Transaktion bewertet eine Slack-Aktie mit rund 45,90 Dollar. Der Preis liegt damit rund drei…

5 Stunden ago

Windows 10 on ARM auf Apple-M1-Mac schneller als auf Surface Pro X

Das legen zumindest auf Geekbench veröffentlichte Benchmarks nahe. Ein AWS-Techniker zeigt zudem, dass Windows 10…

7 Stunden ago

Microsoft entfernt 18 schädliche Erweiterungen für Edge

Beschwerden von Nutzern führen das Unternehmen zu den bösartigen Add-ons. Microsoft entfernt sie Ende November…

9 Stunden ago

Qualcomm kündigt Flaggschiff-Prozessor Snapdragon 888 an

Er ist das erste SoC der Snapdragon 8 Series mit integriertem 5G-Modem. Qualcomm verspricht Verbesserungen…

10 Stunden ago